Блог

Я пытаюсь включить Kerberos для служб отчетов MS SQL Server. Я довольно хорошо знаком с безопасностью Windows и тем, как это работает. Однако я новичок в масштабировании развертывания и кластеризации серверов Windows. Я знаю, что мне нужно добавить SPN, которые направляются как к веб-службе SSRS (используя учетную запись домена), так и к ядру базы данных. Я немного запутался в том, как именно должны быть структурированы SPN. Я просмотрел Stack Overflow и другие ресурсы, и большинство из них ссылаются на стандартное развертывание без масштабирования / кластеризации.

Мои вопросы:

• Структурирую ли я SPN таким образом, чтобы они указывали на узел, кластер, на оба?
• Как мне структурировать SPN для каждого из них?
• Нужно ли включать порты?

Вот что, я думаю, мне нужно добавить:

 setspn -s http/DEV-CLUSTER.clearcaptions.com ssrsuser
setspn -s MSSQLSvc/DEV-CLUSTER1.clearwd.com DEV-CLUSTER1$
setspn -s MSSQLSvc/DEV-CLUSTER1 DEV-CLUSTER1$
setspn -s MSSQLSvc/DEV-CLUSTER1.clearwd.com:1433 DEV-CLUSTER1$
setspn -s MSSQLSvc/DEV-CLUSTER1:1433 DEV-CLUSTER1$
  

Вот подробности моей настройки:

Домен: clearwd (не мой фактический домен)

Серверная ОС: Windows Server 2016

Кластер: DEV-CLUSTER

Узел 1: DEV-SQL1

Узел 2: DEV-SQL2

Роль: DEV-CLUSTER1 (SQL Server / MSSQLSERVER)

Версия SQL Server: 2016 Enterprise

Имя SQL Server: DEV-CLUSTER1

Порт SQL Server: 1433

Учетная запись службы SSRS: ssrsuser.clearwd.com ИЛИ clearwdssrsuser

Режим SSRS: собственный

URL веб-службы сервера отчетов SSRS: http://DEV-SQL01:80/ReportServer

URL веб-портала SSRS: http://DEV-SQL01:80/Reports

Дайте мне знать, если потребуется какая-либо другая информация.

Ссылки:

https://www.itprotoday.com/sql-server/implement-kerberos-delegation-ssrs-0

https://learn.microsoft.com/en-us/sql/reporting-services/report-server/register-a-service-principal-name-spn-for-a-report-server?view=sql-server-2017

https://learn.microsoft.com/en-us/sql/reporting-services/install-windows/configure-report-server-urls-ssrs-configuration-manager?view=sql-server-2017

«Microsoft Kerberos Configuration Manager for SQL Server» можно использовать на каждом задействованном сервере, чтобы получить обзор конфигурации и требуемых SPNS. Насколько я помню, он также поддерживает кластеризованные установки:

Диспетчер конфигурации Kerberos для SQL Server — это инструмент диагностики, который помогает устранять неполадки, связанные с Kerberos, с подключением к SQL Server, службам отчетов SQL Server и службам анализа SQL Server. Он может выполнять следующие функции:

• Соберите информацию об операционной системе, экземплярах Microsoft SQL Server и всегда об прослушивателях группы доступности, установленных на сервере.
• Отчет обо всех конфигурациях SPN и делегирования на сервере.
• Определите потенциальные проблемы в SPN и делегировании. Устраните потенциальные проблемы с SPN.

p.s. Я думаю, что такого рода вопросы будут лучше затрагивать:dba.stackexchange.com